はじめに
香港は、世界でも類稀な開かれた制度を基礎として、特に貿易・金融の分野で発展してきた地域であり、また日本からの対内直接投資額(年間)が3兆円を超える注1日本との結びつきの強い地域でもあります。
近年は、民主化デモや香港国家安全維持法の制定を受け、香港の政情の不安定化を懸念する報道なども多く見られましたが注2、現在デモなどは鎮静化しており、香港の街中は既に安定を取り戻しています。また香港経済も2021年第3四半期の実質GDP成長率の推定値が5.4%と3期連続のプラス成長注3となっていてコロナ禍から順調に回復傾向にあり、香港は引き続き日本企業にとって重要な市場であるといえます。
日本企業は、外国企業の香港域内拠点数ランキングで中国大陸企業に続いて長らく2位(2021年現在1,388拠点)と香港市場において存在感を示しており注4、巨大市場である中国大陸や東南アジア諸国との接続性を背景に地域統括拠点を置いている企業も数多くあります。香港の日系現地法人の中でも特に貿易業・金融業を営む企業や地域統括拠点としての機能を担う企業では、日々多くの情報が集積され、日本本社など香港域外へ各種の報告や情報のやりとりがされており、データ越境移転規制は、香港に拠点を構える企業にとって重要な法的課題となっています。
そこで、本稿では、香港のデータ越境移転規制に焦点を当て、その現在地と今後の展望について解説します。
香港におけるデータ越境移転規制の概況
図表1 香港のデータ越境移転規制の構造
香港法には、データの越境移転を直接規制する法令は現状ありません。香港の個人情報保護の基本法であるPersonal Data (Privacy) Ordinance(Caps. 486、以下「PDPO」といいます)注5は、33条にデータの越境移転に係る規定を置いていますが、この規定が20年以上にわたって施行されていないためです。したがって、香港からのデータの越境移転を検討する場合には、まずPDPO上のデータ移転に関する一般的規制を参照することとなります。
他方で、上記PDPO 33条にまったく参照価値がないかというとそうではなく、PDPOの管轄当局であるPrivacy Commissioner for Personal Data(個人資料私隠専員公署、以下「PCPD」といいます)は、法的拘束力はないものの2014年12月付けのGuidance Note注6において各企業に対してPDPO 33条の遵守を推奨するとの見解を示しており、個人情報保護の世界的潮流とあわせて考えれば、任意での遵守、または少なくとも指針として取り入れることが望ましい規定であるといえます。
PDPO 33条が長らく施行されてこなかった背景には、ビジネス界より、貿易・EC業を含む事業への影響の懸念、規制遵守のハードルの高さへの懸念(例えば中小企業におけるリソース不足など)、より詳細なガイドライン制定の要求、規制対応の猶予期間の要求などが呈されたことが挙げられます。他方で、個人情報保護の重要性がますます高まる現代において、香港の個人情報保護法制からデータの越境移転規制が欠落していることは問題視されており、管轄当局(PCPD)はさまざまな角度から施行に向けた検討を継続しています。
以上のとおり、香港におけるデータ移転規制を検討する場合は、
(ⅰ) PDPO上のデータ移転に関する一般的規制
(ⅱ) PDPO 33条
を2段階で検討すべきこととなります(図表1)。そこで、次項以降ではこれら2段階の規制について、それぞれ具体的に解説します。
データ移転に関する一般的規制
誰が規制されるか
香港におけるデータ移転規制では、データユーザー(data user)が規制対象となります。この「データユーザー」の定義は広く、以下で示すように、個人情報を収集、保有または利用(移転を含む)していれば該当するため、一般的にはどの企業も顧客の個人情報や従業員の個人情報の利用などに関してデータユーザーに該当します。
データユーザー:単独または他者と共同して個人情報※の収集、保有、処理または利用(移転を含む)をコントロールする者
また、データが越境移転される場面では、香港の内外にさまざまなプレイヤーがいることが考えられます。しかしながら、PDPOは域外適用を認める規定を置いておらず、属地主義が適用されるため、その規制対象は香港居民・香港会社、香港域内での活動などに限定され、香港域外の企業による香港外での活動などは規制の対象外になるものと思われます。したがって、たとえば、香港子会社から適切な方法で情報を受領した日本本社が香港域外で行う行為については、直接PDPOの規制を受けません。
なお、情報収集をした香港子会社が、情報の移転先に一定の個人情報保護措置を講じさせる義務を負うことがあり(データ処理の外部委託に係る規制については下記Ⅲ2.(4)を参照)、この反射的効果として日本本社が間接的にPDPOを遵守する必要が生じることはあります。
どのように規制されるのか
(1) 情報収集に係る規制
データ越境移転規制の前提となる個人情報の収集に際しては、主として
① 収集対象の制限に係る規制
② 収集方法の制限に係る規制
③ データ主体(data subject)に対する通知義務
④ データの保管期限
といった規制があります。各項目の大まかな規制内容は以下のとおりです。
■収集対象の制限
・ データユーザーの機能・活動に直接関連する適法な目的のための収集であること
・ 当該目的のため必要または直接の関連性のある収集であること
・ 当該目的のため適切な情報であり、当該目的の範囲を超えない収集であること
■収集方法の制限
適法かつ当該状況において公正な方法であること
■データ主体(data subject)に対する通知
データユーザーは、データの収集対象であるデータ主体(data subject)に対し、個人情報の収集時以前(❺❻は初回の使用以前)に以下の事項を通知しなければならない。
❶ 個人情報の提供が義務か任意か
❷ 義務である場合、提供しないことによる影響
❸ 個人情報の利用目的
❹ 個人情報の移転先
❺ 個人情報へのアクセスおよび訂正請求権があること
❻ 上記請求権の窓口となるデータユーザー側の担当者の氏名(または役職名)および住所
■データの保管期限
データユーザーは、必要な範囲を超えてデータを保持してはならない。
このうち、データ越境移転規制との関係では、③個人情報の提供者となるデータ主体(data subject)に対する通知事項の中に個人情報の移転先が含まれていることが注目に値します。すなわち、データユーザーは、収集する個人情報を自社のみならず親会社などの第三者に提供する場合には事前に移転範囲を検討した上で、データ主体に事前に通知する義務を負っています。
PDPO上は、かかる通知を口頭で行うことも認められていますが、実務上は、データ主体への通知事項を記載したPersonal Information Collection Statement(PICS)と呼ばれる書面を交付して通知をするケースもよく見られます注7。たとえば、オンラインショッピングで支払画面に進む前に、個人情報に取扱いに関する同意を求められてクリックをすることがありますが、これはPICSの一例となります。
(2) 収集後の新たな用途のための移転に係る規制
上記(1)記載のとおり、データユーザーは、データ主体に対してあらかじめ個人情報の収集目的や移転先などを通知する必要がありますが、情報には当初想定していなかったニーズが発生することもあります。このように収集済みの個人情報について新たな用途が発生し、データユーザーが新目的のために個人情報を利用(移転を含む)したい場合、データユーザーは、収集元であるデータ主体の承諾を別途取得する必要があります。
以上のとおり、データ主体は、(1)収集時の通知の受領、および(2)新たな用途についての承諾により、自らの個人情報を誰が保有しているかコントロールすることができる仕組みになっており、裏を返せば、データユーザーは、個人情報の移転に関しては常にデータ主体の同意を取得するのが原則となります注8。
(3) 個人情報の保管に係る規制
中国大陸を含む諸外国では、国内・域内の個人情報を原則として国内・域内で保管することを求める法制も散見されますが、香港法上はそのような規制は特にありません。
(4) データ処理者への委託に係る規制
大量に情報が行き交う現代において、情報処理の一部を外注することは日常的に行われています。たとえば、個人情報を取り扱うシステムのデータの保守管理、個人情報の取扱いを伴うビジネスプロセスの処理を外部委託する場面などが典型例です。香港の現地法人が香港内ではなく香港域外のデータ処理者を起用することも十分に想定されますが、この場合にはデータの越境移転を伴うため、データ越境移転規制の観点からも注意が必要となります。
「データ処理者」は、PDPO上、データユーザーとは区別して取り扱われています。すなわち、外部業者がデータユーザーからデータ処理のために個人情報を受領したとしても、当該業者はPDPO上「データユーザー」として規制に服するのではなく、「データ処理者」という別の位置づけでとらえられます。PDPO上、データ処理者は直接規制の対象とはなっておらず、その行為・結果はデータユーザーが責任を負う建付けとなっているのです(下記の囲みを参照)。
これをふまえて、データユーザーは、データ処理を外部委託する際の委託契約においてデータ処理者に一定の義務や責任を負わせておくことが義務づけられています注9。
■データ処理者とは?
データユーザーの代わりに個人情報を処理する者(自己目的のために行う場合を除く)
■処理を外部委託したデータユーザーに係る規制
データユーザーは、データ処理者と締結する契約またはその他の方法により、以下の対応措置をとらなければならない。
・ 移転された個人情報への無許可または偶発的なアクセス、処理、削除、消失または利用(移転を含む)の回避
・ データ処理者に送信した個人情報がデータ処理に必要な期間を超えて保有されることの回避
■データ処理者の行為についてのデータユーザーによる責任
PDPO上、データ処理者による行為はデータユーザーの行為とみなされ、データユーザーも責任を負う。
PDPO違反による調査・罰則
管轄当局(PCPD)は、(ⅰ)個人からの通報を受領するか、(ⅱ)PDPO違反があったと信じるに足る合理的根拠がある場合、PDPO違反について調査を開始することができます。
このとき、管轄当局は、必要に応じて立入検査や文書提出を求めるなどして調査を行い、PDPO違反が認定される場合には、データユーザーに対して執行通知(enforcement letter)を交付します。執行通知を受けたデータユーザーは、執行通知に基づいて是正措置や再発防止措置をとることが求められます。
データユーザーが執行通知を受けたにもかかわらずこれに従わない場合、データユーザーに対して5万香港ドル以下の罰金、2年以下の懲役等の刑事罰などが科されることもあります。
このほか、ダイレクトマーケティングのためにデータ主体の事前同意を得ずにデータが移転された場合などには、執行通知(enforcement letter)の段階を経ずに直接刑事罰が科されることもあります。
もっとも、管轄当局は、個人からの通報をすべて調査するわけではありません。行政指導に基づいて自主的に是正を行わせるなどの方法で処理されるケースも多数あります。
また、データユーザーは、そのPDPO違反によってデータ主体に損害が生じさせた場合、データ主体に対して損害賠償責任を負うこともあります。もっとも、損害賠償の立証のハードルは高く、訴額もあまり高額にはならないことが一般的なようです。
PDPO 33条
PDPO 33条の位置づけ
既に述べたとおり、データ越境移転規制を定めるPDPO 33条は未施行であり、企業はこれを遵守する法的義務を負うわけではありません。他方で、その規定内容自体はEUのGDPRなど諸外国の規制と比べても現在の環境においては合理的といえるものであり、管轄当局(PCPD)が33条の遵守を推奨していること、中国大陸において暫く停滞していたデータ越境移転規制の整備が最近慌ただしく進んでいることをあわせて考えると、遠くない将来に、香港でもデータ越境移転規制が何らかの形で施行される可能性は十分にあります。
企業としてPDPO 33条をどう位置づけるかは、香港のデータ越境移転規制を考えるうえで避けては通れない論点ですが、少なくとも各国に展開するグローバル企業は既に各国の厳格な越境移転規制に沿う形で社内ルールを構築していると思われ、一般的には香港においてもPDPO 33条を遵守または指針として十分に踏まえたうえで個人情報を保護することが望まれます。
PDPO 33条の概要
PDPO 33条は、データユーザーによる個人情報の「香港域外への移転」を原則として禁止しています。先に挙げた法的拘束力のない2014年12月付けのGuidance Noteによれば、ここでいう「香港域外への移転」には、(ⅰ)香港域内から香港域外への移転に加え、(ⅱ)香港のデータユーザーがコントロールする香港域外から香港域外への移転をも含みます(図表2)。後者の例としては、日系香港企業が従業員から取得した個人情報を外部業者の香港域外のサーバーに保管しており、この個人情報を日本本社へ転送するケースなどが考えられます。
図表2 「香港域外への移転」のイメージ
■香港域内から香港域外への移転
■香港のデータユーザーがコントロールする香港域外から香港域外への移転
また、「移転」の定義は法令上特に定められていませんが、上記Guidance Noteによれば以下の状況を含むとされており、参考になります。
[香港域外への移転に該当するケースの例]
・ 個人情報の処理のために香港域外のサービスプロバイダーを利用(個人情報の保管場所が香港域内・域外を問わない)
・ ダイレクトマーケティング目的で香港域外の業者に顧客情報を送付
・ グループの顧客情報・従業員情報の集中管理のため、香港域外の別グループ会社に情報を転送
・ 香港域外のグループ会社従業員もアクセス・ダウンロードできる状態の香港域内のサーバーに個人情報を保管
仮にデータユーザーが検討しているデータ移転が「香港域外への移転」に該当する場合、次に問題となるのは、当該データ移転がPDPO 33条2項の定めるいずれかの例外事由に該当するか否かという点です。
例外事由は以下のように全部で六つありますが、このうち最も典型的に用いられるのは、(c)データ主体による事前の書面同意の取得かと思われます。
[PDPO 33条の例外事由]
(a) 管轄当局(PCPD)の定めるホワイトリストに記載されている地域へのデータ移転である場合
(b) PDPOと重要な点において類似または同じ目的のために制定された法令を有する地域であるとデータユーザーが思料する合理的な根拠がある場合
(c) データ主体が移転について書面によって同意している場合
(d) データ移転がデータ主体を害する行為を回避または緩和する目的であり、データ主体からの書面による同意の取得が実務的にできない場合で、同意取得が可能であればデータ主体が同意した状況であるとデータユーザーが思料する合理的な根拠がある場合
(e) PDPO第8部の適用によりデータ保護第3原則が免除される場合
(f) 仮に香港であればPDPO上の要求に違反することとなるデータの収集、保有、処理または利用が当該地でなされないようデータユーザーがすべての合理的な警告及びデュー・デリジェンスを行った場合
上記Ⅲ2.(1)で検討したとおり、データユーザーは、データ主体に対してデータの収集に先立って使用目的や移転先などについて通知する義務を負っており、実務上は、Personal Information Collection Statement(PICS)と呼ばれる書面の交付によって通知を行うケースが多くあります。また、上記Guidance Noteは、PICSの交付に加えて同時に書面同意を取得することを推奨しています。
なお、PDPO 33条の規定によれば、いずれかの例外事由に該当すればデータ越境移転は認められることとなりますが、例外事由への該当をより確実にするためには、他の事由により越境移転が認められると思われるケースでも、データ主体から書面同意を取得しておく方が望ましいものと思われます。
小括
これまで検討してきたとおり、データの越境移転時にPDPO 33条を任意で遵守または指針とする場合、データユーザーとしての基本的対応は、データ主体からの書面同意の取得となります。
他方で、上記Ⅲで検討したとおり、PDPOで施行済みの一般的規制によれば、データ収集時にはPICSなどを通じてデータ主体に事前に移転先について通知を行ったり、新たな用途のために移転(通知していない移転先への移転を含む)する場合には同意を取得したりする必要があり、データユーザーへの負担はPDPO 33条を遵守したとしても大きくは変わらないと評価することもできます。
香港のデータ越境移転規制の展望
以上、ご紹介してきたように、香港のデータ越境移転規制においてPDPO 33条の取扱いは、古くて新しい問題です。
管轄当局(PCPD)は、2014年12月付けのGuidance Noteの発行によりPDPO 33条の解釈を一定程度深化させましたが、ビジネス界からはさらなる疑問が呈され、管轄当局がさらにこれに答えるといったやりとりが繰り返されています注10。
現状香港においてデータ越境移転規制が制定される具体的なめどはたっていませんが、他方で中国大陸ではデータ越境移転規制の整備が急ピッチで進んでおり、香港内でも2021年9月29日にPDPOの改正案(インターネット上の晒し行為の規制)が成立するなど、個人情報保護の整備に向けた機運が高まっています。
香港に拠点を抱えていたり、香港でビジネスを行っていたりする日本企業においては、引き続き香港の個人情報保護の立法動向に留意いただく必要があります。
→この連載を「まとめて読む」
- 香港特別行政区政府統計処「国際収支バランス 表48『主要な投資国家/地域別の香港対内直接投資ポジション及びフロー(時価総額基準)』」(2019年末現在)[↩]
- なお、日本貿易振興企業(ジェトロ)が実施した2021年7月27日付けの「第8回 香港を取り巻くビジネス環境にかかるアンケート調査」によれば、調査対象企業の31.8%が「本社は、香港の実情を悲観的に認識して」おり、69.5%がその理由として「日本国内での報道が悲観的過ぎる」ことを挙げているため、報道と現地の実感に乖離がある点には留意が必要です。[↩]
- 香港特別行政区政府統計処「国民経済調査」[↩]
- 香港特別行政区政府統計処「2021年の香港域外企業の香港拠点に関する調査報告」[↩]
- 中文名は「個人資料(私隠)条例」(第486章)といいます。[↩]
- Guidance on Personal Data Protection in Cross-border Data Transfer[↩]
- なお、データ主体への通知を書面で行うことは管轄当局(PCPD)も推奨しています。またPICSの具体的なイメージについては、管轄当局の発行しているGuidance on Preparing Personal Information Collection Statement and Privacy Policy Statementが参考になります。[↩]
- 例外事由については、PDPO第8部をご参照ください。[↩]
- なお、データ処理者との間の委託契約に定めるべき条項については、管轄当局(PCPD)の発行しているOutsourcing the Processing of Personal Data to Data Processorsが参考になります。[↩]
- 香港立法会(日本でいう国会に相当)の政制事務委員会が2020年1月20日に行った会議においてもデータ越境移転規制の欠如は指摘され、議論されています(2020年1月20日付け政制事務委員会会議)。[↩]
龍野 滋幹
アンダーソン・毛利・友常法律事務所外国法共同事業 パートナー弁護士・ニューヨーク州弁護士
2000年東京大学法学部卒業。2002年弁護士登録、アンダーソン・毛利・友常法律事務所入所。2007年米国ニューヨーク大学ロースクール卒業(LL.M.)。2008年ニューヨーク州弁護士登録。2007~2008年フランス・パリのHerbert Smith法律事務所にて執務。2014年~東京大学大学院薬学系研究科・薬学部「ヒトを対象とする研究倫理審査委員会」審査委員。国内外のM&A、JV、投資案件やファンド組成・投資、AI・データ等の関連取引・規制アドバイスその他の企業法務全般を取り扱っている。週刊東洋経済2020年11月7日号「「依頼したい弁護士」分野別25人」の「M&A・会社法分野で特に活躍が目立つ2人」のうち1人として選定。
横井 傑
アンダーソン・毛利・友常法律事務所外国法共同事業 パートナー弁護士
Nakamura & Associates 香港における外国法登録弁護士
2005年慶應義塾大学法学部法律学科、2009年早稲田大学法務研究科卒業。2010年弁護士登録、2011年アンダーソン・毛利・友常法律事務所入所。2020年米国ジョージタウン大学ロースクール卒業(LL.M. with Certificate in World Trade Organization (WTO) & International Trade Studies)。2014年君合律師事務所(中国・北京市)にて執務。2014~2019年アンダーソン・毛利・友常 法律事務所の北京オフィス、上海オフィスの代表を経て、2021年1月~同事務所の香港提携事務所Nakamura & Associatesにて外国法登録弁護士として勤務。